Perfil de segurança da API OAuth 2.0 de 2 pernas do Microsoft Entra ID no Jitterbit API Manager
Introdução
Importante
O Azure Active Directory (Azure AD) agora é conhecido como Microsoft Entra ID.
Esta página fornece os pré-requisitos para usar o Microsoft Entra ID 2-legged OAuth 2.0 com uma API personalizada, OData ou proxy do Jitterbit. (Para OAuth 3-legged, consulte Perfil de segurança da API Microsoft Entra ID 3-legged OAuth 2.0.)
Em um perfil de segurança, você pode configurar o Microsoft Entra ID (** Azure AD**) como um provedor de identidade OAuth 2.0 para fornecer aos consumidores de API acesso a uma API usando a autenticação do Microsoft Entra ID.
Para obter informações adicionais, consulte Configurar um aplicativo OpenID Connect OAuth na galeria de aplicativos Microsoft Entra documentação.
Descontinuação do Azure AD Graph
O Azure AD Graph está obsoleto e será totalmente descontinuado em 30 de junho de 2025. Se você configurou anteriormente o registro do seu aplicativo com o Azure AD Graph, você deve migrar o registro do aplicativo no Microsoft Graph antes de 1º de fevereiro de 2025. Os registros de aplicativos que não foram migrados até 1º de fevereiro de 2025 receberão um erro ao fazer solicitações.
Depois que o registro do aplicativo for migrado para o Microsoft Graph, você deverá atualizar o manifesto do aplicativo (conforme descrito na etapa 12 em Conceder permissões de API ao Harmony).
Pré-requisitos
O Microsoft Entra ID edição P1 é necessário para configurar e usar o Microsoft Entra ID como um provedor de identidade.
1. Configurar o Microsoft Entra ID como um provedor de identidade
Siga estas etapas para configurar um aplicativo OAuth 2.0 no portal do Microsoft Azure e obter o ID do cliente, o segredo do cliente e o ID do diretório necessários para configurar o Microsoft Entra ID como um provedor de identidade para um perfil de segurança:
-
Efetue login no portal do Microsoft Azure.
-
No portal do Microsoft Azure, acesse Registros de aplicativos e clique em Novo registro:
-
Na tela Registrar uma aplicação, especifique os detalhes iniciais da aplicação:
- Insira um Nome. Por exemplo, Jitterbit API Manager APIs.
- Em Tipos de conta suportados, selecione a opção apropriada para sua situação.
-
Após clicar em Registrar, na tela Visão geral do novo aplicativo, o ID do aplicativo (cliente) e o ID do diretório (locatário) são exibidos. Guarde-os para uso posterior, pois serão necessários ao configurar o perfil de segurança no API Manager:
-
Na categoria Gerenciar à esquerda, selecione Certificados e segredos. Em seguida, em Segredos do cliente, clique em Novo segredo do cliente:
-
Forneça uma Descrição e defina o segredo para Nunca expirar. Em seguida, clique em Adicionar:
-
Use o ícone Copiar para a área de transferência para copiar o novo segredo do cliente. Guarde-o para uso posterior, pois será necessário ao configurar o perfil de segurança no API Manager.
2. Conceda permissões de API ao Harmony
Siga estas etapas para conceder permissões ao Harmony para usar as APIs do Microsoft Entra ID com o aplicativo OAuth 2.0 que você criou na seção Configurar o Microsoft Entra ID como um provedor de identidade. Se continuar a partir da seção anterior, você pode começar na etapa 3 abaixo.
-
Efetue login no portal do Microsoft Azure.
-
No portal do Microsoft Azure, acesse Registros de aplicativos e selecione o aplicativo OAuth 2.0 que você criou na seção Configurar o Microsoft Entra ID como um provedor de identidade (no exemplo, chamado Jitterbit API Manager APIs).
-
Na categoria Gerenciar à esquerda, selecione Permissões de API. Em seguida, em Permissões configuradas, clique em Adicionar uma permissão:
-
Na tela Solicitar permissões de API, na aba APIs da Microsoft, selecione a API Microsoft Graph:
-
Na tela Solicitar permissões de API, selecione Permissões delegadas:
-
A seção Selecionar permissões agora é exibida. Dentro dela, selecione estas permissões:
-
Em Permissões OpenId, selecione offline_access, openid e profile:
-
Em Usuário, selecione Usuário.Leitura:
-
-
Depois que essas permissões forem selecionadas, na parte inferior da tela Solicitar permissões de API, clique em Adicionar permissões.
-
Você retornará à tela Permissões de API para o aplicativo. Em Permissões configuradas, clique em Conceder consentimento de administrador para \<Diretório>:
-
Reconheça o diálogo para conceder consentimento para o diretório:
-
Em Permissões configuradas, a coluna Status agora deve mostrar que o consentimento foi concedido para cada permissão adicionada:
-
Siga estas etapas adicionais para criar um escopo personalizado:
- Navegue até Expor uma API e clique em Adicionar um escopo.
-
Na caixa de diálogo Adicionar um escopo, insira um nome de Escopo, Nome de exibição do consentimento do administrador, Descrição do consentimento do administrador e preencha os campos opcionais conforme desejado. Clique em Adicionar escopo:
-
Na categoria Gerenciar à esquerda, selecione Manifesto. Certifique-se de que
requestedAccessTokenVersionestá definido para2e clique em Salvar:
Nota
Seu token de autenticação não será validado se
requestedAccessTokenVersionnão está definido para2.
3. Configure um perfil de segurança no API Manager
Siga as instruções para Configurar um perfil de segurança em Configuração do perfil de segurança.
Nota
O Nome do perfil não deve conter espaços. Se o Nome do perfil contiver espaços, você receberá um erro ao tentar acessar uma API usando esse perfil de segurança. O Microsoft Entra ID retorna um erro semelhante a este:
The reply URL specified in the request does not match the reply URLs configured for the application.
Durante a configuração, selecione OAuth 2.0 como o Tipo de autenticação e Azure AD como o provedor OAuth:
Digite o escopo no campo Escopo OAuth. O nome do escopo é <client_id>/.default. O ID do cliente foi obtido acima na etapa 1.
O campo Domínios autorizados deve estar vazio:
Opcionalmente, insira o ID do cliente OAuth e o segredo do cliente OAuth (para fins de teste) obtidos acima na etapa 1:
Insira o público, que é o ID do aplicativo (ID do cliente) do seu aplicativo, atribuído ao seu aplicativo no portal do Azure, conforme descrito acima na etapa 1.
Edite a URL de descoberta do OpenID, a URL de autorização do OAuth, a URL do token do OAuth e a URL de informações do usuário para substituir o ID do diretório de espaço reservado (yourDirectoryID) com o ID do diretório obtido acima na etapa 1.
Depois que os campos acima forem preenchidos, clique em Testar para validar o token de autenticação.
4. Atribuir um perfil de segurança no API Manager
Para usar o perfil de segurança com uma API, siga as instruções para configurar uma API personalizada, serviço OData, ou API proxy e selecione o perfil de segurança configurado com autenticação Microsoft Entra ID OAuth 2.0.
5. Acesse uma API com autenticação Microsoft Entra ID
Depois de salvar e publicar uma API personalizada, serviço OData, ou API proxy, sua API é acessível por URL no aplicativo que chama a API usando o método de autenticação configurado.
Usar o OAuth 2.0 de duas etapas é um processo de duas etapas:
- Gere um token OAuth passando o ID do cliente do Azure e o segredo do cliente obtidos acima na etapa 1 em uma Solicitação de Token de Acesso a Credenciais de Cliente RFC6749 para o novo link URL do token OAuth de 2 pernas exibido nos Perfis de segurança ou obtendo o token OAuth diretamente do Microsoft Entra ID.
- Envie o token OAuth no cabeçalho da API usando o tipo de token "portador" definido em RFC6750.
Para consumir a API, use o link para Copiar URL e use-o dentro do aplicativo de chamada:
Se a API suportar GET, você também pode colar a URL em um navegador da Web para consumir a API manualmente.
Quando o Fluxo OAuth de 2 pernas está sendo usado, o gateway de API busca o token de acesso e a autenticação ocorre automaticamente.
Se a autenticação for bem-sucedida, a payload esperada será exibida no navegador da web.